Chat wird erstmals sicher
An der Carnegie Mellon University arbeitet der Mathematiker John S. Bucy seit Juni an einem revolutionären Programm namens Caliban. Diese in C++ geschriebene und derzeit in Version v.012 vorliegende Software soll erstmals die gravierenden Sicherheitslücken schließen, die rund um das umkämpfte Instant Messaging [siehe Links] und alle Chatprogramme bestehen.
"Das Programm ist relativ handlich", sagte Bucy zur FutureZone, "momentan sind es nicht mehr als 7.000 Zeilen Code. Das einzige Problem wird die weltweite Verteilung sein. Unsere Exptorgesetze sind einfach lächerlich."
Signatur mit OpenPGP
Caliban setzt nämlich auf dem OpenPGP-Standard [Pretty Good
Privacy] auf, der mit Schlüssellängen arbeitet, die nach den
herrschenden US-Gesetzen nur mit Genehmigung exportiert werden
dürfen. Dabei nutzt Caliban PGP nicht zur eigentlichen
Verschlüsselung, sondern die öffentlichen Schlüssel [Public Keys]
nur zum Zweck der Verifikation. Die Teilnehmer identifizieren sich
am Beginn des Chats oder Instant Messaging mittels Signatur durch
ihren Private Key und können damit sicher sein, dass niemand anderer
eine Identität fingiert.
Caliban v.012Da gängige Messaging-Programme wie ICQ oder AOLs Instant Messenger nur über unzureichende Authentifizierungsmechanismen verfügen, ist es relativ einfach, eine Identität vorzutäuschen und die Aktivitäten ahnungsloser Dritter online zu überwachen.
Weil Messaging-Programme auch die IP-Adressen der Beteiligten übermitteln, werden Angriffe mit trojanischen Pferden extra leicht gemacht.
ICQ gefährlich
Die erste Version des berüchtigten Hackprogramms Back Orifice
wurde im Sommer '98 vorzüglich über ICQ und IRC-Chat in Umlauf
gebracht. Ahnungslose User ließen sich von "Freunden" problemlos
überreden, verseuchte Bildschirmschoner und andere Software auf
ihren Rechnern zu installieren.
Back Orifice via ICQ